Home Research Education Publications Activities Resources About Me

Revocable Privacy

Samenvatting

Veiligheid en privacy worden ten onrechte als elkaars tegenpolen gezien. Privacybeschermers en hoeders van de (maatschappelijke) veiligheid zijn blijven steken in vastgeroeste standpunten en voeren een loopgravenoorlog. Hierdoor gaan oplossingen voor veiligheid ten onrechte ten koste van de privacy. En wordt bij de ontwikkeling van privacy enhancing technologieën te weinig rekening gehouden met redelijke veiligheidswensen.

In dit artikel wordt het revocable privacy concept uitgelegd. Dat concept is bedoeld om systemen te ontwikkelen die zowel veilig als privacyvriendelijk zijn. Technieken voor revocable privacy bestaan, en kunnen worden ingezet voor zaken als rekeningrijden en DigiD. Revocable privacy brengt veiligheid én privacy samen, in een poging de loopgravenoorlog te slechten.

Inleiding

Maatschappelijke veiligheid staat hoog op de politieke agenda. Of het nu gaat om criminaliteitsbestrijding, terrorismebestrijding of crisisbeheersing, burgers verwachten een daadkrachtige overheid. Dit was al zo voor 9/11. Inkijkoperaties, veelvuldig tappen en dergelijke vonden ook al plaats eind vorige eeuw. De roep om telecomgegevens (ook internetverkeersgegevens) voor langere tijd op te slaan stamt ook uit die tijd.

Het is moeilijk aan het publiek uit te leggen dat producenten van kinderporno zonder belemmeringen hun gang kunnen gaan op internet. Dat de politie met ten minste één hand op de rug gebonden de criminaliteit moet bestrijden terwijl de criminelen alle wetten wel aan hun laars kunnen lappen. Als uitwisseling van gegevens tussen de gezinsvoogd, de teamleider van het Bureau Jeugdzorg, de Raad voor de Kinderbescherming en het Advies- en Meldpunt Kindermishandeling een drama als de dood van de kleuter Savanna had kunnen voorkomen, dan moeten we dat toch gewoon doen?

Het belang van privacy wordt in deze discussie stelselmatig ter zijde geschoven. En dat heeft misschien ook te maken met het soms extreme standpunt van privacybeschermers die legitieme veiligheidswensen ter discussie stellen. Die in feite dezelfde fout maken als de securityadepten: namelijk dat privacy boven security te prevaleren zou zijn. Dit heeft geresulteerd in een loopgravenoorlog tussen het privacy- en securitykamp, die in ieder geval de privacy geen goed heeft gedaan.

In dit artikel wil ik een uitweg uit deze status quo beschrijven, die zowel onze veiligheid als onze privacypositie verbetert. Het belang van privacy wil ik daarvoor in het juiste perspectief plaatsen. Ik zal eerst ingaan op hoe de afgelopen vijftig jaar technologische ontwikkelingen hun effect hebben gehad op het belang van privacy. Ik zal een metafoor schetsen die goed laat zien wat het belang van privacy is en dat "iedereen wel degelijk iets te verbergen heeft". Om een brug te slaan tussen het privacykamp en het securitykamp zal ik het revocable privacy concept introduceren en door middel van voorbeelden illustreren. Kort gezegd komt revocable privacy erop neer dat het systeem garandeert dat de privacy van de gebruikers beschermd is, tenzij een aantal vooraf beschreven regels zijn overtreden.

Vooral technische middelen zijn interessant om revocable privacy te implementeren, omdat puur procedurele middelen makkelijk te omzeilen zijn, of bij wet veranderd kunnen worden. Dat is met name interessant vanwege de impact van de veranderende technologie op de privacy.

Privacy: een andere metafoor

Technologische ontwikkelingen hebben altijd een invloed gehad op de privacy in de samenleving. Denk hierbij bijvoorbeeld aan de opkomst van de fotografie en de opkomst van de kranten en (roddel)bladen. De invloed van deze ontwikkelingen op de privacy bleef nog beperkt tot een kleinere groep mensen. Er zijn echter een tweetal ontwikkelingen uit de vorige eeuw aan te wijzen die een niet te onderschatten invloed hebben gehad op de privacy van eigenlijk alle burgers.

De eerste grote verandering ontstond door de opkomst van de computer, vanaf de jaren zestig van de vorige eeuw. Hierdoor kon informatie voor het eerst op grote schaal digitaal opgeslagen en verwerkt worden. Dat had twee grote voordelen. Ten eerste kon informatie nu makkelijk gedupliceerd worden. Hierdoor raakten dossiers minder vaak zoek. Ten tweede kon informatie veel sneller doorzocht worden, en was er ook een grotere garantie dat áls er informatie over een persoon te vinden was, die ook inderdaad gevonden zou worden.

De tweede grote verandering ontstond door de opkomst van computernetwerken vanaf de jaren negentig. Hierdoor kon informatie betrekkelijk simpel over de hele wereld gedeeld en geraadpleegd worden. Dit maakte het eenvoudig om gegevens uit verschillende databases aan elkaar te koppelen. Dit geldt zeker sinds de opkomst van het internet. Bovendien waren deze data in principe voor iedereen, technisch gezien, toegankelijk. Dit had tot gevolg dat als een stuk gevoelige informatie openbaar werd, het binnen de kortste keren op allerlei servers op het internet terug te vinden was. Dit zogenaamde "network effect" maakt het ook een stuk lastiger om systemen (en de daarop opgeslagen informatie) goed te beschermen.

Beide ontwikkelingen zoals hierboven geschetst hebben ervoor gezorgd dat informatie alomtegenwoordig is, onvergankelijk is, en eenvoudig te doorzoeken en te combineren is. Maar betekent dit dan ook dat de privacy van de burger door deze ontwikkelingen is geschaad? En hoe erg is dat dan? Hiervoor moeten we op zoek naar de juiste betekenis van privacy en het gebruik van persoonlijke gegevens.

Op zoek naar de juiste metafoor

De meest bekende manier om naar de betekenis van privacy (en naar de gevaren van een gebrek aan privacy) te kijken is door middel van de "Big Brother"-metafoor. In het boek "1984" van George Orwell wordt een samenleving geschetst die strak geleid wordt door een dictator die Big Brother wordt genoemd. Alle burgers worden continue in de gaten gehouden door camera's die zelfs in de huizen gemonteerd zijn. Vandaar de slogan "Big Brother is watching you".

Dit is natuurlijk een ontzagwekkend en indringend beeld van waar een gebrek aan privacy in extremo toe kan leiden. Het probleem van deze metafoor is echter dat deze door velen als onrealistisch (en dus als niet gevaarlijk) wordt gezien. De gemiddelde Nederlander heeft, ondanks alles, nog een groot vertrouwen in de overheid en gelooft niet dat de overheid misbruik zou maken van alle gegevens. "Ik heb toch niets te verbergen" is een veel gehoorde kreet. De "Big Brother"-metafoor helpt dus niet in het overbrengen van een gevoel voor privacyrisico's. Zeker niet aan de overheid zelf, die natuurlijk als geen ander van haar eigen goede bedoelingen overtuigd is.

De metafoor die we beter zouden kunnen gebruiken is gebaseerd op het boek "Het Proces" van Franz Kafka [Solove]. In dit verhaal wordt de hoofdpersoon op een dag "gearresteerd". Dat wil zeggen dat hij op de hoogte wordt gebracht van het feit dat hij een overtreding heeft begaan. Verder verandert er niets. Hij weet niet eens welke overtreding hij heeft begaan. De rest van het boek is een eindeloze en vruchteloze zoektocht naar het hoe en waarom ervan.

De kern van de metafoor is het gebrek aan controle en inzicht in wat er in de wereld om ons heen gebeurt, over de informatie die over ons verzameld wordt op basis waarvan beslissingen over ons genomen worden. We weten misschien nog net dát er een beslissing is genomen, maar welke is onduidelijk. En we kunnen de beslissing zeker niet beïnvloeden.

Dit is ook precies het belang van privacy. Zonder adequate privacybescherming wordt allerlei persoonlijke informatie gebruikt om een profiel over ons op te bouwen. Dit profiel wordt vervolgens gebruikt om beslissingen voor of over ons te nemen: "u mag tot maximaal x euro geld lenen", "u bent geïnteresseerd in erotiek en wilt hierover wekelijks reclame ontvangen", "u mag geen lid worden van y", "we hebben een kandidaat voor de functie gevonden die toch geschikter is", "nee, het spijt ons, maar uw naam komt voor op een lijst met potentiële terroristen dus u mag niet meer vliegen". Het leidt tot uitsluiting, willekeur en dergelijke. En aangezien de profielen niet openbaar zijn, kan niemand controleren of ze wel kloppen. Vaak is dit niet het geval (veel databases bevatten verouderde of simpelweg foute gegevens), wat betekent dat er beslissingen genomen worden op basis van onjuistheden!

De metafoor van het proces van Kafka geeft veel beter weer waar het probleem van een gebrek aan privacy ligt. En het laat ook goed zien dat dit iedereen raakt. Niet alleen de celebrity's (maar die worden tenminste nog redelijk gecompenseerd voor hun gebrek aan privacy), de allochtonen, of de onderkant van de samenleving, maar iedereen heeft of krijgt hiermee te maken.

Maar: "ik heb toch niets te verbergen?"

Wat is er mis het argument "ik heb toch niets te verbergen"?

Ten eerste gaat het argument uit van de premisse dat iemand alleen maar "foute" dingen te verbergen heeft. Dat is niet het geval (zie de Kafka-metafoor).

Ten tweede wordt, suggestief, een individueel belang (het privé houden van bepaalde informatie) afgewogen tegen een belang van de samenleving (bijvoorbeeld een veiliger samenleving). Meestal, en dat is ook de kracht van dit argument, zal het belang van de samenleving zwaarder worden gewogen dan het individuele belang. Echter, privacy is niet alleen een individueel belang. Privacy is óók een gezamenlijk belang. Het is sterk verbonden met het recht op vrijheid van meningsuiting. Privacy voorkomt "chilling effects", voorkomt dat mensen, uit angst voor de consequenties, niet meer voor hun mening uitkomen. Gebrek aan privacy kan leiden tot een minder vrije ontwikkeling van nieuwe ideeën, en dus een minder flexibel opererende samenleving. De samenleving heeft baat bij individuen die zich vrij kunnen bewegen en ontwikkelen, maar wel binnen de grenzen die de samenleving daaraan stelt.

Architectuur = politiek

Voordat we ons met de oplossing van de schijnbare tegenstelling tussen security en privacy bezig kunnen houden, is er één ander belangrijk aspect dat verduidelijkt moet worden. En dat is de rol van de techniek in dezen.

We hebben in het voorafgaande gezien dat juist de technologische ontwikkelingen van de afgelopen zestig jaar een groot effect hebben gehad op de privacybeleving van de burgers. De voortschrijdende techniek heeft ook veel meer mogelijkheden gecreëerd om de veiligheid van de samenleving te verhogen. De grap is nu dat door het juiste gebruik van techniek, namelijk de techniek van de revocable privacy, we aan de paradox kunnen ontsnappen.

De crux is om zowel de security als de privacy leidend te laten zijn in de architectuur van een systeem (voor rekeningrijden, voor paspoortcontrole, voor identity-management, noem maar op). De achterliggende gedachte is "architectuur = politiek". De architectuur van een systeem bepaalt niet alleen hoe een systeem op dit moment functioneert, maar ook hoe het zich in de toekomst kan ontwikkelen. Architectuur schept mogelijkheden, maar kadert ook in. Het is in zekere zin een abstracte filosofie over hoe de wereld (in ieder geval de wereld waarin het systeem opereert) in elkaar zit. Niet alleen in prescriptieve zin, maar zeker ook in normatieve zin.

De architectuur van een systeem is dus een politieke keuze. Deze moet derhalve op basis van politieke argumenten genomen worden. De consequenties van de architectuur moeten bij het nemen van de beslissing dan wel bekend en onderkend worden.

Architectuur is in die zin vergelijkbaar met wetgeving. Niet voor niets noemde Lawrence Lessig het boek, waarin hij deze ideeën uitwerkte "Code, and other laws of cyberspace" [Lessig]. Code staat hier voor architectuur. In het boek beschrijft hij hoe de architectuur van het internet ervoor zorgde dat niemand daar grip op kon krijgen. Dat het internet een open systeem was waar iedereen zijn eigen toepassingen bovenop kon bouwen, zonder dat anderen daar iets tegen zouden kunnen doen. Dat internet een medium was waar geen enkele overheid in zijn eentje zeggenschap over heeft. Internet is daarin cruciaal anders dan telecommunicatienetwerken. En het is juist die openheid van het internet die zijn explosieve groei verklaart.

Er is echter een cruciaal verschil tussen architectuur aan de ene kant en wetgeving aan de andere kant. Wetgeving is aan verandering onderhevig. Wetten kunnen zomaar veranderen. Voor architectuur geldt dit niet. Die is min of meer onveranderbaar. De architectuur is de kern van het hele systeem, en kan dus alleen veranderd worden door het systeem volledig te vervangen door een nieuw systeem.

Security én privacy

De vraag is of een verhoging van de veiligheid altijd, per definitie, een aantasting van de privacy moet betekenen. En andersom, of iedere verbetering van de privacy altijd leidt tot een aantasting van de veiligheid. Kunnen security én privacy niet tegelijkertijd verbeterd worden? Naar onze mening is dat zeker mogelijk. Dit doel kan namelijk bereikt worden door middel van zogenaamde revocable privacy technieken.

In de volgende paragrafen zullen we revocable privacy definiëren, en dit middels een aantal voorbeelden illustreren. De technieken die daarin aan bod komen zijn bruikbaar in een veelvoud van situaties. Echter, er zijn zeker nog een aantal toepassingen waarin revocable privacy niet zo eenvoudig te implementeren is, of alleen onder een aantal beperkende voorwaarden. Dit levert een aantal open vragen voor verder onderzoek op die ook besproken worden.

Revocable privacy

Als we in technische zin over privacy spreken, dan hebben we het over de volgende eigenschappen [Pfitzmann].

Anonimiteit
Zorgt ervoor dat de identiteit van een subject niet kan worden vastgesteld.
Pseudonimiteit
Het gebruik van (meerdere) pseudoniemen als identiteit, in plaats van één werkelijke identiteit. Denk aan het gebruik van hotmail-accounts, of pseudoniemen op weblogs.
Onlinkbaarheid
Garandeert dat niet bepaald kan worden of een tweetal zaken al dan niet met elkaar verband houden. Bijvoorbeeld of een tweetal berichten door één en dezelfde persoon zijn verzonden.
Ontraceerbaarheid/onobserveerbaarheid
Hiermee wordt bedoeld dat niet vastgesteld kan worden of een bepaalde gebeurtenis al dan niet heeft plaatsgevonden. Bijvoorbeeld of er überhaupt een e-mail verstuurd is.

Elk van deze eigenschappen zorgt ervoor dat een systeem de privacy van haar gebruikers tot op een bepaald niveau beschermt. De privacy-enhancing-technologies (PET) implementeren één of meer van bovenstaande eigenschappen.

Het probleem (voor security) is dat dergelijke privacy-enhancingtechnologies de privacy ongelimiteerd en onconditioneel aanbieden. Wat er ook gebeurt, de privacy van de gebruiker blijft gewaarborgd. Zoals hierboven al uitvoerig is geschetst is dat vanuit security-oogpunt onaanvaardbaar.

Revocable privacy is een concept dat voor dat probleem een oplossing biedt. Een systeem implementeert revocable privacy als de architectuur van het systeem garandeert dat gegevens over individuen slechts dan beschikbaar komen als aan een aantal vooraf gedefinieerde voorwaarden is voldaan. Er zijn hierbij twee mogelijke varianten.

In de eerste variant wordt de toegang tot de gegevens bewaakt door een onafhankelijke derde partij, de zogenaamde trusted third party. Deze controleert of aan de voorwaarden voor het opheffen van de privacy is voldaan. Deze controle is in een vooraf opgestelde procedure vastgelegd. Het moge duidelijk zijn dat hierbij wel vertrouwd moet kunnen worden op de integriteit van deze derde partij. Ook mogen er geen situaties ontstaan waardoor de procedures of de voorwaarden later veranderd kunnen worden. Dit is echter moeilijk te garanderen. Wet- en regelgeving zijn altijd aan verandering onderhevig.

In de tweede, zogenaamde self-enforcing, variant is het systeem zo ingericht dat persoonsgegevens alleen vrij kunnen komen als aan de voorwaarden voor vrijkomen voldaan is. Het is dus een technische beperking (vergelijkbaar met de beperking dat men niet sneller kan reizen dan het licht) en niet een procedurele. Het heeft dus niet de nadelen van de eerste variant. Echter, self-enforcing systemen blijken lastig te maken te zijn. Eén voorbeeld is bekend: het voorkomen dat digitaal geld tweemaal uitgegeven wordt (het zogenaamde "double spending"). Dit punt wordt verderop nog nader uitgewerkt.

Welke variant er ook gekozen wordt, de eis is dat geen van de partijen eigenhandig persoonlijke gegevens uit het systeem kan halen. Daar is altijd medewerking van een andere partij voor nodig (in het geval van self-enforcement door het feit dat de gebruiker de regels overtreden heeft).

De variant die met behulp van trusted third parties revocable privacy implementeert is minder sterk dan de self-enforcing variant. In de eerste variant kan immers de trusted third party beslissen om ook als niet aan de voorwaarden is voldaan toch de gegevens te ontsluiten. De trusted third party wordt geacht zich aan de regels te houden, maar het systeem zelf kan hem daar niet toe dwingen. Daarmee heeft deze variant een zwakheid die vergelijkbaar is met het beschermen van de privacy door wet- en regelgeving. Het is echter wel degelijk een beter systeem dan enkel te vertrouwen op wet- en regelgeving. De systeemeigenaar noch de trusted third party kan namelijk op eigen houtje de persoonlijke gegevens van de betrokkenen boven tafel krijgen. Ze zullen daarbij moeten samenspannen. Het is daarbij zelfs mogelijk om het systeem zo in te richten dat de rol van trusted third party over verschillende partijen verdeeld wordt. Het idee is dan dat toegang tot de persoonlijke gegevens alleen verkregen kan worden als een meerderheid van de trusted third parties daarvoor toestemming geeft.

Voorbeelden

DigiD

Het eerste voorbeeld betreft DigiD, een eigen inlogcode voor de burger als toegangsmiddel voor dehele overheid. Met DigiD kan men inloggen op alle persoonlijke internetdiensten die de overheid aanbiedt. DigiD is dus een soort identitymanagementsysteem. Als iemand een verhuizing wil doorgeven, of een belastingaangifte wil doen, kan dat met behulp van de DigiD en wordt de identiteit door DigiD gecontroleerd. Vervolgens geeft DigiD het burgerservicenummer (BSN) door aan de desbetreffende overheidsdienst. Zo weet deze dienst welke persoon ingelogd is.

Er is sprake van om DigiD ook open te stellen voor het gebruik door commerciële diensten. Op het eerste gezicht lijkt dat wel handig. Men hoeft als burger niet wéér een nieuwe inlogcode te onthouden. Bovendien kan men adresgegevens en dergelijke automatisch laten overnemen door de dienst. Probleem is echter wel dat DigiD het BSN doorgeeft aan de commerciële dienst. En dat betekent dat niet alleen alle transacties met overheidsdiensten gekoppeld kunnen worden via het BSN, maar ook alle transacties met commerciële diensten. Dat is zeer interessante en ook privacygevoelige informatie. Denk DoubleClick - maar dan nog veelomvattender.

Dat kan ook anders. Sterker nog, dat kan op een revocable privacy manier. Daarvoor moet er gebruik worden gemaakt van zogenaamde public key cryptography. De trusted third party (TTP) beschikt over een geheime sleutel, laten we die k noemen. De bijbehorende publieke sleutel K kent iedereen. Een bericht versleuteld met K kan alleen ontcijferd worden door k, alleen door de TTP dus. Als een gebruiker zich inlogt voor dienst D, geeft DigiD niet zomaar het BSN door. In plaats daarvan versleutelt hij het BSN samen met de naam van de dienst, D dus, en stuurt het resultaat door naar de dienst. Dit is eigenlijk een soort BSN-pseudoniem.

Dit pseudoniem is uniek. Het BSN kan niet door de dienst achterhaald worden (het is immers versleuteld). Bovendien is dit pseudoniem per dienst verschillend. Als ik inlog voor een dienst E, wordt mijn BSN immers samen met de naam van de dienst (nu dus E) versleuteld. Maar stel dat ik mij niet aan de regels heb gehouden, dan kan mijn privacy herroepen worden, en kan de dienst mijn BSN achterhalen. De dienst hoeft simpelweg het pseudoniem door te sturen naar de TTP, en de TTP overtuigen van het feit dat ik de regels heb overtreden, en de TTP kan het pseudoniem ontcijferen en mijn BSN aan de dienst doorgeven.

Voor DigiD bestaat dus de mogelijkheid om, door middel van revocable privacy op basis van een TTP, gebruik door commerciële partijen op een veilige en privacyvriendelijke manier mogelijk te maken.

Digitaal geld

Zoals gezegd bestaan er ook self-enforcing vormen van revocable privacy. Eén daarvan is specifiek bedoeld om het twee keer uitgeven van digitaal geld onmogelijk te maken. Deze methode werkt als volgt. Een digitaal muntstuk is niets anders dan een rij 0-en en 1-en die opgeslagen is op een harde schijf. Deze bitstring codeert de waarde van het muntje, en bevat ook informatie om de echtheid vast te stellen (bijvoorbeeld door middel van een digitale handtekening van de bank van uitgifte). Zonder tegenmaatregelen zou men zo'n muntje als betaling door kunnen sturen naar een webwinkel, en stiekem toch het muntje ook op zijn harde schijf kunnen bewaren. Als het muntje later nog een keer wordt uitgegeven, komt dat pas aan het licht als de winkel de muntjes terugstort bij de bank.

Om dit te voorkomen zou de naam van de eigenaar in het muntje gecodeerd kunnen worden. (Merk op dat digitaal geld in het algemeen niet van persoon op persoon doorgegeven kan worden.) Maar dan is er van privacy geen sprake meer, en kan de bank precies zien bij welke winkels men welke bedragen uitgeeft. David Chaum [Chaum] heeft in de jaren tachtig een slim idee bedacht waardoor de naam van de eigenaar van de munt wél in het muntje wordt gestopt, maar zodanig dat die er alleen uitgehaald kan worden als het muntje echt meer dan een keer wordt uitgegeven.

Grofweg komt het idee op het volgende neer. In de munt wordt een tabel opgenomen van twee kolommen en zeg een twintigtal rijen. Ieder rij bestaat dus uit twee velden. In het linkerveld staat een sleutel. In het tweede veld staat de naam van de eigenaar, versleuteld met die sleutel. De sleutels in iedere rij zijn willekeurig gekozen. Ieder veld afzonderlijk bevat dus geen bruikbare informatie. Echter, een linker- en een rechterveld uit één en dezelfde rij maken het mogelijk om de naam van de eigenaar te ontcijferen.

Bij het uitgeven van de munt geeft men niet de hele tabel aan de verkoper. Men geeft per rij of het linker- of het rechterveld. De verkoper vraagt hierom, per rij, en wel willekeurig. Zo verkrijgt de verkoper een 'halve' munt, die hij (voor de volledige waarde) inlevert bij de bank. Als de munt nog een keer wordt uitgegeven, vraagt de tweede verkoper op dezelfde manier om het linker- dan wel het rechterveld van iedere rij in de tabel. En krijgt zo ook een 'halve' munt. Als vervolgens deze munt ook wordt ingeleverd bij de bank, ziet de bank dat deze twee keer is uitgegeven. De bank pakt nu beide halve tabellen uit beide munten. Omdat beide verkopers onafhankelijk van elkaar kiezen, is er met grote kans een rij waar de ene verkoper links koos waar de andere rechts koos. En zo wordt dan de naam van de oorspronkelijke eigenaar achterhaald. Zonder een tweede 'halve' munt heeft de bank niet genoeg informatie en is de privacy gewaarborgd.

We zien dat de privacy dan en slechts dan wordt opgeheven als de regel ("je mag een munt maar één keer uitgeven") wordt overtreden.

Open vragen

Het voorbeeld van DigiD laat zien hoe anonimiteit (en deels pseudonimiteit) op een revocable manier kan worden ingericht met een TTP. Dit principe is algemeen toepasbaar. Naast anonimiteit zou ook ontraceerbaarheid en onlinkbaarheid op een revocable manier ingezet moeten kunnen worden. Hoe dit moet is nog niet duidelijk. Ook voor sterkere vormen van pseudonimiteit en het gebruik van attribuut credentials als een vorm om anonimiteit te garanderen, zijn revocable implementaties gewenst.

Self-enforcing vormen van revocable privacy zijn aanmerkelijk lastiger te realiseren. Voorkomen kan worden dat digitaal geld twee keer wordt uitgegeven. Datzelfde idee kan gebruikt worden om te voorkomen dat een toegangskaartje o.i.d. twee keer gebruikt wordt. Een andere techniek zorgt ervoor dat als een gebruiker een deel van zijn persoonsgebonden credentials (denk bijvoorbeeld aan abonnementen) zou willen delen met een andere gebruiker, hij dan alle persoonsgebonden informatie met die andere gebruiker deelt. Onderzoek naar meer algemene technieken voor revocable privacy zijn dus nodig.

Conclusies

Door technologische veranderingen (computerisering, en de opkomst van het wereldwijde internet) is privacy steeds verder onder druk komen te staan. In de politiek staat de veiligheid van de samenleving hoog op de agenda, en wordt privacybescherming als een belemmering gezien. De metafoor van "Het proces" van Kafka laat zien hoe gevaarlijk het is om ongelimiteerd gegevens over personen te verzamelen en te gebruiken om buiten hen om beslissingen over hen te nemen.

Revocable privacy is een techniek waarbij de privacy van de gebruikers blijft gewaarborgd, tenzij vooraf opgelegde regels zijn overtreden. Revocable privacy slaat een brug tussen security en privacy en laat zien dat veilige én privacyvriendelijke systemen te bouwen zijn. Het is een politieke keuze om tot het bouwen van dergelijke systemen over te gaan: ongelimiteerd verzamelen van gegevens is immers niet meer mogelijk. Echter, als alleen misbruik en overtredingen gedetecteerd hoeven te worden, is revocable privacy een prima alternatief.

In specifieke gevallen zijn er technische oplossingen voor revocable privacy. Meer onderzoek naar meer bredere toepassingen en algemenere technieken is zeker nodig. Maar dat staat het gebruiken van wat er nu al is niet in de weg. Boven alles is revocable privacy een filosofische benadering, een manier van kijken naar mogelijke oplossingen voor het inrichten van een systeem dat zowel de veiligheid als de privacy respecteert. En wie kan daar nou tegen zijn?

Bibliografie

[Lessig] Lawrence Lessig: "Code and other laws of Cyberspace", Basic Books, 1999.

[Solove] Daniel J. Solove: "I've Got Nothing to Hide" and Other Misunderstandings of Privacy, San Diego Law Review, 44: 745, 2007.

[Pfitzmann] Andreas Pfitzmann, Marit Hansen: Anonymity, Unlinkability, Undetectability, Unobservability, Pseudonymity, and Identity Management A Consolidated Proposal for Terminology (Version v0.31 Feb. 15, 2008) See http://dud.inf.tu-dresden.de/Anon_Terminology.shtml


Jaap-Henk Hoepman is senior onderzoeker security en cryptografie bij TNO ICT en de Radboud Universiteit Nijmegen.  


Last Version - e1e3326.
(Note: changeover from CVS to dotless svn version numbers on Jan 19, 2008, and changeover to GIT versioning on May 30, 2013.)
Maintained by Jaap-Henk Hoepman
Email: jhh@cs.ru.nl